Archive pour le mot-clef ‘Fondation Linux’

Avec sigstore, la Fondation Linux va authentifier les services open source

Vendredi 12 mars 2021

Les composantes open source des logiciels sont de plus en plus ciblées par les pirates informatiques ces dernières années. Pour sécuriser la chaîne d’approvisionnement des logiciels, la Fondation Linux vient d’annoncer le projet sigstore permettant de signer les versions de logiciels, images de containers et code binaire. Un projet sur lequel travaillent Google, Red Hat et l’Université Purdue;

 

 

 

La Fondation Linux a lancé un service gratuit que les développeurs peuvent utiliser pour signer numériquement leurs versions et leurs autres objets logiciels, images de containers et code binaire. Le projet vise à renforcer la sécurité et l’auditabilité de la chaîne d’approvisionnement du logiciel open source, qui fait face ces dernières années à un nombre d’attaques sans précédent. Le code Sigstore sur lequel s’appuie ce service a été développé en partenariat avec Google, Red Hat et l’Université Purdue. Il sera maintenu à l’avenir par la communauté. Toutes les signatures et les événements liés seront stockés dans un journal public infalsifiable qui peut être monitoré pour découvrir de potentiels abus.

Sigstore utilise le protocole d’authentification OpenID pour attacher les certificats aux identités. Cela signifie qu’un développeur peut utiliser son adresse email ou son compte avec un fournisseur d’identité OpenID pour signer son logiciel. Cela diffère de la signature de code traditionnelle qui nécessite d’obtenir un certificat d’une autorité de certification (CA) qui est reconnue par les éditeurs ou responsables d’un écosystème logiciel particulier, par exemple Microsoft ou Apple. L’obtention d’un certificat de signature de code traditionnel nécessite de suivre des procédures spéciales qui incluent la vérification d’identité ou la participation à un programme de développement.

Une PKI géré par la Fondation Linux

Le client de signature sigstore génère une paire de clés éphémères de courte durée et contacte l’infrastructure de clé publique (PKI) sigstore qui sera gérée par la Fondation Linux. Le service de PKI vérifie que la connexion OpenID a bien été accordée et délivre un certificat basé sur la paire de clé qui sera utilisée pour signer le logiciel. L’événement de signature est enregistré dans le journal public de logs et les clés sont ensuite supprimées. Il s’agit ici d’une autre différence par rapport à la signature numérique existante parce que chaque événement de signature génère une nouvelle paire de clés et un certificat. Finalement, l’objectif est d’avoir une preuve publique qu’une identité particulière a signé un fichier à un moment donné. C’est à la communauté de bâtir ensuite des outils utilisant ces informations pour créer des politique et des mécanismes d’application.

« C’est simplement basé sur les autorités de certification X.509 normales, afin que chacun puisse ajouter sa propre autorité de certification racine », indique Dan Lorenc, membre de l’équipe de sécurité open source de Google et contributeur du projet. « Il est possible de se débarrasser de la nôtre si on ne veut pas lui faire confiance, chacun peut ajouter ses propres intermédiaires », a-t-il expliqué à CSO. Les développeurs peuvent utiliser le service PKI public et le journal de transparence ou bien ils peuvent déployer leur propre système de signature interne pour leur organisation. Le code du service de journalisation, baptisé Rekor, et celui de l’autorité de certification racine, Fulcio, sont en open source, disponible sur GitHub.

Contrer les attaques de référentiels de packages

De façon générale, la signature de code logiciel est utilisé pour fournir des garanties sur la provenance du logiciel, en apportant la preuve qu’une portion de code vient bien d’un développeur ou d’une organisation en qui l’utilisateur a confiance. Les solutions de liste blanche d’applications, par exemple, utilisent ces informations pour appliquer les politiques d’utilisation sur les logiciels et leur provenance lorsque l’un d’eux va s’exécuter sur un système particulier. Ces politiques peuvent être étendues de la même façon aux gestionnaires de packages. Tout logiciel moderne est construit à l’aide de composants open source tiers qui constituent souvent la majeure partie de leur base de code. C’est pour cette raison qu’il y a eu des attaques contre des référentiels de packages open source comme npm, PyPi ou Ruby Gems.

L’une des techniques d’attaques récemment révélée est la confusion de dépendance. Elle agit en trompant les gestionnaires de packages par l’installation d’une fausse variante d’un package local particulier. Pour se faire, elle publie un package ayant le même nom mais se présentant comme une version supérieure dans le référentiel public. Les politiques de sécurité construites autour des signatures numériques des logiciels peuvent aider à prévenir de telles attaques. Elles permettent aussi de contrer celles où le serveur de téléchargement ou de mise à jour utilisé par un développeur de logiciels est compromis avec des packages légitimes remplacés par des logiciels malveillants ou des attaques de type « man-in-the-middle » contre les mécanismes de mise à jour du logiciel.

Créer des outils de type HaveIBeenPwned à partir du journal

Il existe d’autres attaques, comme la compromission de l’ordinateur d’un développeur ou de l’infrastructure de construction des logiciels, ou encore l’injection de code malveillant au cours des premières étapes du développement logiciel, comme dans la récente attaque SolarWinds qui a impacté des milliers d’entreprises. La signature de code n’aurait pas nécessairement empêché cette attaque car la signature d’une version logicielle est l’une des dernières étapes avant la distribution et elle aurait été faite après l’injection de code. Cependant, un journal de transparence comme celui qui fait partie de sigstore pourrait fournir des informations précieuses aux enquêteurs sur un incident ou même conduire à la détection précoce d’une compromission.

Selon Luke Hinds, responsable de la sécurité chez Red Hat, le journal peut être utilisé pour bâtir des outils de monitoring similaires dans leur fonctionnement au service de notification de violation de données HaveIBeenPwned.com. Avec ce dernier, un utilisateur peut saisir son adresse e-mail et être averti s’il apparaît dans l’une des violations publiques qui ont été répertoriées. Les développeurs pourraient utiliser un tel outil pour être avertis chaque fois que leur adresse e-mail apparaît dans le journal sigstore. Si un tel événement se produit alors qu’ils savent qu’ils n’ont pas été actifs, c’est immédiatement un signal d’alarme indiquant que leur compte ou système a peut-être été compromis et que quelqu’un signe un logiciel en leur nom. « Le journal de transparence n’a pas la capacité de bloquer les attaques, mais il vous donne sur ces attaques des informations que vous n’avez tout simplement pas actuellement », a déclaré Luke Hinds à CSO. « Il assure la transparence autour de la supply chain logicielle ».

Des chercheurs de l’Université Purdue travaillent sur un prototype d’outil de surveillance qui utilisera le journal. Les responsables de ce projet espèrent qu’au fur et à mesure la communauté open source et les acteurs privés de la sécurité vont construire des outils autour du service sigstore. Par exemple, les entreprises évoluant dans le développement pourraient déployer le système et créer des contrôles de sécurité granulaires. « En soi, ce n’est pas un moteur d’application de politique que nous créons, mais les outils et primitives que vous pouvez utiliser pour bâtir l’un de ces moteurs d’application de politique », explique Dan Lorenc, membre de l’équipe de sécurité open source de Google. « Vous pouvez avoir 12 développeurs et décider que 7 d’entre eux doivent signer un artefact pour que celui-ci soit bon », cite-t-il en exemple. « Vous pouvez imaginer toutes sortes de scénarios comme celui-là. »

Source lemondeinformatique.fr

Les cours d’introduction de la fondation Linux ont dépassé le million d’inscriptions

Vendredi 2 octobre 2020

La plateforme edX indique que le cours d’introduction à Linux, qui en est à sa sixième année, est un de ses dix cours les plus populaires.

La fondation Linux a annoncé que son cours sur edX d’introduction à Linux, qui en est à sa sixième année, a enregistré plus d’un million d’inscriptions.

Ce cours ne demande aucune connaissance ou expérience préalable, souligne la fondation, et il vise à donner aux étudiants une bonne connaissance pratique de Linux, en utilisant à la fois l’interface graphique et la ligne de commande, dans les principales familles de distribution Linux.

Des exemples d’étudiants devenus pros

L’introduction à Linux «a aidé d’innombrables personnes à lancer leur carrière informatique», affirme la fondation, qui cite deux exemples: Jules Bashizi Irenge «a terminé le cours, puis a suivi une formation intermédiaire Essentials of System Administration et a reçu une certification Linux Foundation Certified SysAdmin (LFCS). Il est maintenant un doctorant qui a contribué à plus de 200 correctifs au noyau Linux. Fabian Pichardo a également suivi le cours d’introduction avec Essentials of System Administration et LFCS, et il est maintenant employé à plein temps en tant que développeur de logiciels.»

Chez edX, le PDG Anant Agarwal salue la Linux Foundation comme «un partenaire incroyable» qui a apporté des dizaines de cours à la plateforme. L’introduction à Linux est un des dix cours les plus populaires d’edX.

La fondation propose une vingtaine de cours de formation gratuits sur des projets open source, notamment Linux, Kubernetes, Hyperledger, etc. en partenariat avec edX.

Source zdnet.fr

Sécurité de Linux : une enquête de la Linux Foundation

Lundi 22 juin 2020

Les logiciels open source et Linux sont à présent partout dans le monde IT. L’occasion pour Harvard et la Linux Foundation de lancer une grande enquête sur la sécurité des FOSS.

Pour David A. Wheeler, responsable de la sécurité de Linux Foundation, « nous devons aujourd’hui avoir une meilleure compréhension des enjeux pour rendre l’open source plus sécurisé encore ».

En 2020, vu la prolifération de Linux et des logiciels libres, l’Université de Harvard et la Fondation lancent une grande enquête auprès des DSI, des contributeurs et des développeurs. Objectif : identifier comment améliorer la sécurité et la pérennité de l’écosystème libre.

Le questionnaire a été élaboré et mis en place par la Core Infrastructure Initiative de la Linux Foundation, en collaboration avec le Laboratory for Innovation Science de Harvard. La participation se fait en anglais et prend entre 15 et 20 minutes. Vous avez jusqu’au début du mois d’août pour apporter votre son de cloche et vos impressions aux équipes en charge. En participant, vous aurez la possibilité de recevoir les conclusions de l’enquête lors de leur publication, avant l’automne.

Le questionnaire (en anglais).

Source toolinux.com

La fondation Linux veut améliorer la sécurité de l’open source

Samedi 1 février 2020

La Linux Foundation annonce un partenariat avec l’Open Source Technology Improvement Fund (OSTIF) pour développer ensemble des audits de sécurité.

La fondation Linux annonce ce mardi «un partenariat stratégique pour améliorer la sécurité des logiciels open source, devenue critique pour l’infrastructure mondiale», avec l’Open Source Technology Improvement Fund (OSTIF).

Le logo de la fondation Linux

Les deux organisations vont développer ensemble des audits de sécurité «pour les communautés open source largement étendues». La Linux Foundation va ainsi augmenter ses travaux sur les audits de sécurité – elle indique avoir déjà investi plus d’un million de dollars dans une vingtaine de projets open source à ce jour – en y incluant des experts du réseau de l’OSTIF.

« Renforcer la confiance » dans l’open source

Ce dernier «partagera les ressources disponibles via le Community Bridge de la fondation Linux, un écosystème de financement et de soutien pour les développeurs et les projets, avec sa communauté pour aider à lever des fonds pour de nouveaux audits».

Amir Montazery, vice-président de l’OSTIF, salue dans le communiqué des deux organisations «la capacité de la fondation Linux à collecter des fonds auprès de toutes les industries pour soutenir des milliers de développeurs à travers le monde, sans précédent».

Dans le cadre de ce partenariat, la fondation nommera son vice-président des programmes stratégiques, Mike Dolan, au conseil consultatif de l’OSTIF. Ce dernier commente le rapprochement des deux entités comme une «collaboration naturelle qui, nous l’espérons, renforcera la confiance dans la chaîne de fourniture mondiale des logiciels open source qui sous-tend la société moderne».

Comme la fondation, l’OSTIF est un organisme à but non lucratif, qui repose sur des levées de fonds auprès du public et des dons d’entreprises et d’entités gouvernementales.

On trouve dans son conseil consultatif des représentants entre autres de Red Hat, Internet Security Research Group (l’ISRG est lui-même soutenu par Mozilla, l’EFF, Cisco, Akamai et l’université du Michigan), F-Secure, DuckDuckGo, OpenSSL (de son comité de management)…

Source zdnet.fr

La fondation Linux accueille 34 nouveaux membres

Vendredi 1 mars 2019

La fondation Linux dépasse à présent 1.000 membres. HP est un des nouveaux entrants.

La fondation Linux annonce que pas moins de 29 nouveaux membres « Argent » (« Silver » en VO) et 5 membres associés viennent de la rejoindre. L’organisation à but non lucratif rappelle que ses membres soutiennent le développement de ressources technologiques partagées, tout en « accélérant leur propre innovation via le leadership de l’open source et la participation à plusieurs des plus grandes réussites de projets open source comme Hyperledger, Kubernetes, Linux, Node.js et ONAP ».

Logo de la Linux Foundation

En 2018, souligne la fondation, elle a accueilli une nouvelle organisation adhérente par jour, et elle compte à présent plus de 1.000 membres. Parmi ses nouveaux membres Argent, on remarque notamment HP et STMicroelectronics.

« Une très large variété d’industries »

Jim Zemlin, le directeur exécutif de la Linux Foundation, a salué l’arrivée de ces 34 nouvelles entreprises:

« Ces organisations, qui représentent une très large variété d’industries à travers le monde, vont apporter des ressources et des connaissances de valeur à un écosystème de l’open source déjà en expansion. »

La fondation indique que beaucoup des nouveaux membres ont rejoint, outre l’organisation, des projets qu’elle soutient comme Automotive Grade Linux (qui réunit des constructeurs automobiles – Ford, Honda, Mercedes, Toyota et d’autres -, des sous-traitants du secteur et des entreprises tech – dont Amazon -, travaillant ensemble à une plateforme à base de Linux pour véhicule connecté), la Cloud Native Computing Foundation (CNCF, créée en 2015 pour promouvoir les conteneurs d’applis, par Google, Red Hat, Twitter, Huawei, Intel, Cisco, IBM, Docker, entre autres – c’est elle qui a en charge Kubernetes), la fondation Ceph (créée fin 2018 et dédiée à la plateforme libre de stockage dédié éponyme), etc.

Source zdnet.fr